Según una nueva investigación, el aumento en la adopción de dispositivos macOS en entornos corporativos está atrayendo cada vez más la atención de los actores de amenazas. El nuevo informe de Interpres Security detalla el «regreso» de los actores de amenazas que manipulan la base de datos de transparencia, consentimiento y control (TCC) manipulación por parte de actores de amenazas de estados-nación, específicamente aquellos con vínculos con los servicios de seguridad de Corea del Norte. Alguna vez apreciados por sus propiedades de seguridad, los dispositivos Apple y Mac en particular han sido atacados por piratas informáticos que explotan una serie de vulnerabilidades en los últimos años. Esto incluye casos como la falla Achilles Gatekeeper. El informe señaló que un número cada vez mayor de empresas están adoptando sistemas Mac y que esta mayor participación en el mercado corporativo está provocando un mayor volumen de ataques. Según las estadísticas citadas en el informe de Statcounter, las corporaciones están cada vez más optando por MacBooks. Apple ha pasado de una participación de mercado del 3% a casi el 17% en los últimos 14 años, con un crecimiento promedio del 1% anual. Además, Interpres señaló que los actores de amenazas se dirigen a una audiencia más técnica, como desarrolladores e ingenieros, que normalmente usan dispositivos macOS y, si se ven comprometidos, tienen más probabilidades de tener acceso privilegiado a información confidencial o sistemas críticos. En una encuesta realizada a más de 87.000 desarrolladores en En 2023, Stack Overflow descubrió que uno de cada tres desarrolladores utiliza macOS en su vida profesional. Como resultado, los piratas informáticos están adaptando sus ataques para que sean compatibles con macOS, según Interpres, prediciendo que esta tendencia continuará. Reciba nuestras últimas noticias, actualizaciones de la industria, recursos destacados y más. Regístrese hoy para recibir nuestro informe GRATUITO sobre seguridad y delitos cibernéticos de IA, recientemente actualizado para 2024. Apuntando al marco TCC con la investigación de CloudMensisInterpres describió cómo las nuevas técnicas permiten a los atacantes manipular el marco TCC para hacer que los sistemas macOS sean vulnerables a los ataques. El marco TCC gestiona los permisos de las aplicaciones en macOS, garantizando que entidades no autorizadas no puedan acceder a información confidencial ni a la configuración del sistema. El marco ha sido objetivo de actores de amenazas en el pasado, con ataques centrados en acceder y modificar el archivo TCC.db para otorgarse permisos sin preguntar al usuario, o incluso proporcionar su propio archivo TCC.db por completo. Apple introdujo la Protección de Integridad del Sistema (SIP) para defenderse de estos ataques con el lanzamiento de macOS Yosemite, pero la función no redujo por completo los incidentes de seguridad. Microsoft publicó detalles de una vulnerabilidad que permitía a los atacantes eludir de forma remota SIP, conocida como Migraine, en mayo de 2023 advirtiendo “cruz- las amenazas a las plataformas continúan creciendo”. A lo largo de la investigación, Interpres se centró en las técnicas del notorio actor de amenazas norcoreano, el Grupo Lazarus, responsable de ataques notables que involucran a Sony, WannaCry y JumpCloud. Interpres descubrió que los métodos recientes del grupo implicaban la implementación de una variedad de malware para macOS. CloudMensis, que aprovecha el comando csrutil para consultar el estado de la protección SIP. CloudMensis emplea dos técnicas para eludir TCC que permiten al atacante obtener control de la pantalla de la víctima y escanear el almacenamiento extraíble en busca de «documentos de interés», al mismo tiempo que registra eventos del teclado. .Si SIP está deshabilitado, CloudMensis agrega entradas al archivo TCC.db para otorgarse más permisos. Si el objetivo ejecuta cualquier versión de macOS Catalina 10.15.6 o anterior, incluso si SIP está habilitado, el malware explotará una vulnerabilidad para hacer que el demonio TCC cargue una base de datos en la que CloudMensis puede escribir. Según el informe, las empresas que ejecutan Las MacBooks actuales con SIP habilitado están protegidas contra CloudMensis, pero sí tiene en cuenta una serie de otras cepas de malware dirigidas a TCC que pueden implementarse en entornos macOS. Estas familias incluían Bundlore, Callisto, el registrador de teclas BlueBlood y macOS novedoso y no especificado. troyanos que aún no han sido etiquetados por VirusTotal.